Wann brauche ich einen externen IT-Sicherheitsbeauftragten?
In vielen Unternehmen übernimmt immer noch der IT-Leiter die Rolle des IT-Sicherheitsbeauftragten. Der IT-Sicherheitsbeauftragten ist jedoch Partner des IT-Leiters und eine Personalunion der beiden Rollen führt häufig zu einem im Vergleich niedrigen Niveau der Informationssicherheit. Dies hängt im Regelfall nicht an der Kompetenz oder dem Willen des IT-Leiters die zweite Rolle auszufüllen, sondern an dessen Ressourcen und Kernzielen.
In diesem Fall ist ein externer IT-Sicherheitsbeauftragter das Mittel der Wahl. Eine Vollzeitstelle kann und soll ein externer IT-Sicherheitsbeauftragter nicht ersetzen.
Was kann ein externer IT-Sicherheitsbeauftragter leisten?
Zunächst bringt der externe IT-Sicherheitsbeauftragte viel Erfahrung und Fachkompetenz mit. Darüber hinaus ist er in der Lage, zwischen den verschiedenen Abteilungen und Rollen in einer Organisation zu vermitteln und einen neutralen und sachorientierten Standpunkt einzunehmen. Zu den – im Einzelfall zu definierenden – Grundleistungen zählen unter anderem:
- Der IT-Sicherheitsbeauftragte ist für die regelmäßige Pflege der Referenzdokumente eines ISMS zuständig. Dies betrifft die in der Regel geringfügigen Anpassungen, die sich durch reguläre Änderungen im Informationsverbund ergeben. Die Bearbeitung schließt die Pflege eines vorhandenen Bestands im ISMS-Tool ein.
- Teilnahme an Besprechungen der IT-Abteilung, ca. alle zwei Monate. Dadurch soll gewährleistet werden, dass wesentliche Änderungen und strategische Entwicklungen begleitet werden können.
- Teilnahme und Leitung des Sicherheitsgremiums. Es wird davon ausgegangen, dass dieses ca. alle 2 Monate zusammenkommt.
- Zusammenstellung der Informationen und Erstellung des jährlichen Managementberichts des IT-Sicherheitsbeauftragten an die Leitungsebene.
- Die Einweisung neuer Mitarbeiter durch den IT-Sicherheitsbeauftragten, um diese mit dem Grundregeln des Hauses und der Informationssicherheit vertraut zu machen. Dies beinhaltet auch die Erstellung und Aktualisierung der für diese Einweisung erforderlichen Unterlagen.
- Durchführung von Sensibilisierungsveranstaltungen in geeigneten Zusammenkünften entlang der Organisationsstruktur des Kunden. Die Sensibilisierung ist mindestens jährlich für jeden Mitarbeiter durchzuführen. Dies teilt sich erfahrungsgemäß auf 3 bis 5 Termine auf, in denen der IT-Sicherheitsbeauftragte jeweils ca. 1 Stunden für die Inhalte der Sensibilisierung vermittelt.
- Während der Vor-Ort-Termine ist der IT-Sicherheitsbeauftrage Ansprechpartner für Fragestellungen zur Informationssicherheit.
Was kann ich darüber hinaus erwarten?
Je nach Kundenwunsch werden Bedarfsleistungen erbracht. Dabei kann der externer IT-Sicherheitsbeauftragte auch stets auf Kollegen und damit das gesamte Portfolio und Wissen der secuvera zurückgreifen. Übliche Bedarfsleistungen sind:
- Fortschreibung des Sicherheitskonzepts des Kunden durch inhaltliche Überarbeitung oder die Erstellung von Dokumenten. Dabei kann es sich um anwendungsbezogene Sicherheitskonzepte, um Richtlinien oder Umsetzungskonzepte handeln.
- Beratung zu umfangreichen Projekten, Beschaffungen oder Umstellungen bzgl. der Informationssicherheit und bzgl. der Auswirkungen auf das bestehende Sicherheitskonzept und dessen formale Anteile.
- Mitwirkung bei internen Planungen, Migrationen, Änderungen der IT-Umgebung, Außerbetriebnahme von Servern oder Anwendungen. Einarbeitung der Änderungen in die Struktur des Sicherheitskonzepts.
- Beratung hinsichtlich der notwendigen Nachfolge der bestehenden ISMS-Software.
- Schulung zur Nutzung der ISMS-Software durch Mitarbeiter des Kunden.
- Vorbereitung von Prüfungen und Audits durch Dritte.
- Durchführung von internen Audits durch den IT-Sicherheitsbeauftragten sind optional, können jedoch übernommen oder unterstützt werden.
- Sofern gewünscht kann der IT-Sicherheitsbeauftragte in die Auswertung von Sicherheitsmeldungen (CERT oder Hersteller) eingebunden werden.
Eine wichtige Abgrenzung: der IT-Sicherheitsbeauftragte übernimmt keine betrieblichen Aufgaben oder komplette Umsetzungstätigkeiten von Sicherheitsmaßnahmen.
Unabhängig davon, ob Sie einen internen oder externen IT-Sicherheitsbeauftragten beauftragen: Bei der Vertragsgestaltung gibt Ihnen ISMS.1.A5 Vertragsgestaltung bei Bestellung eines externen Informationssicherheitsbeauftragten aus dem Grundschutz-Kompendium erste Hinweise.